在 Elastic Security 中创建运行时字段

Elastic Stack Serverless Security

运行时字段是指在您摄取数据后可以添加到文档中的字段。 例如，您可以合并两个字段并将它们视为一个字段，或者对现有数据执行计算并将结果用作单独的字段。 运行时字段在查询运行时进行评估。

您可以创建一个运行时字段并将其添加到检测警报或事件中，从数据网格表中列出警报或事件的任何页面，例如**警报**、**时间线**、**主机**和**用户**。 创建后，新字段将添加到当前的数据视图，并可用于数据视图中的所有 Elastic Security 警报和事件。

创建运行时字段

1. 转到列出警报或事件的页面（例如，**警报**或**时间线** → **时间线名称**）。

2. 执行以下操作之一

   • 在“警报”表中，单击表左上角的**字段**工具栏按钮。 从**字段**浏览器中，单击**创建字段**。 **创建字段**浮出控件打开。

     
     ×

   • 在“时间线”中，转到侧边栏的底部，然后单击**添加字段**。 **创建字段**浮出控件打开。

     
     ×

3. 输入新字段的**名称**。

4. 为字段的数据类型选择**类型**。

5. 启用**设置值**切换开关，并输入Painless 脚本以定义字段的值。 该脚本必须与选定的**类型**匹配。 有关添加字段和 Painless 脚本示例的更多信息，请参阅使用运行时字段浏览您的数据。

6. 使用**预览**来帮助您构建脚本，使其返回预期的字段值。

7. 根据需要配置其他字段设置。

   注意

   某些运行时字段设置（例如自定义标签和显示格式）在 Elastic Security UI 的某些区域中可能显示不同。

8. 单击**保存**。 新字段将作为新列出现在数据网格中。

您可以从**警报**、**时间线**、**主机**和**用户**页面编辑或删除现有运行时字段。

1. 单击**字段**按钮以打开**字段**浏览器，然后搜索您想要的运行时字段。

   提示

   单击**运行时**列标题两次，以重新排序字段表，将所有运行时字段放在顶部。

2. 在**操作**列中，选择一个选项来编辑或删除运行时字段。